Слитые логи электронной почты: владелец форума 8kun контактировал со сторонниками QAnon
Благодаря уязвимости почтового сервера, в публичный доступ попало более года логов электронной почты. Это также продемонстрировало проблемы безопасности и инфраструктуры, с которыми сталкиваются администраторы таких пользующихся дурной славой сайтов, как 8kun.
Логи переписки, которые были публично доступны, пока в прошлом месяце уязвимость не была закрыта, продемонстрировали тысячи контактов по электронной почте администраторов 8kun, а также адреса, который, по-видимому, принадлежит владельцу 8kun Джиму Уоткинсу.
Логи позволяют узнать, кто, когда и кому писал письма, но не просмотреть их содержание.
Согласно этим логам, аккаунты администраторов 8kun и Is It Wet Yet (IIWY), материнской компании 8kun, которой также владеет Уоткинс, связывались с различными адресами электронной почты. Многие из них, по-видимому, относятся к внутренним коммуникациям, однако другие, судя по всему, являются контактами с коммерческими партнерами и различными внешними адресами. Также имели место одиночные контакты по крайней мере с двумя различными правоохранительными органами.
Кроме того, адрес электронной почты Уоткинса, который использовался для ответов на вопросы об этой статье, контактировал с различными активными сторонниками теории заговора QAnon, в том числе, по-видимому, со специалистом по контрактам, который связан с Армией США. В логах видны и контакты с влиятельными сторонниками QAnon, у которых гораздо больше подписчиков.
Всего в логах обнаружилось 2 664 электронных письма с 30 разных адресов, принадлежащих компаниям Уоткинса, на 665 других электронных адресов. Более 1100 электронных писем, оказавшихся в логах, пришли с адресов самого Уоткинса.
Уязвимость также раскрыла, например, каталоги конфигурации, в которых содержатся подробности о хранении персональных данных на сайтах вроде 8kun. Кроме того, в логах ошибок можно найти, например, SQL-команды, учетные данные сессий, IP-адреса и другие детали, связанные с 8kun.
Сайт 8kun, ранее известный как 8chan, давно известен как анонимный форум с расистским, неонацистским и антисемитским контентом, а также с постами, где поощряют и одобряют массовые шутинги. В последнее время он стал пристанищем для заговорщиков QAnon. Эта ложная и ни на чем не основанная теория гласит, что Америкой управляют кабалы сатанистов-педофилов, и что высокопоставленный чиновник, известный как Q, сливает на 8kun информацию о борьбе с этими тайными группами внутри «глубинного государства». Хотя заговор QAnon не имеет под собой никаких фактов, он распространился в США и за их пределами. Сторонники QAnon оказались внутри Сената США, когда 6 января протестующие правых взглядов взяли штурмом Капитолий. Ранее заявлялось о причастности этой теории заговора к различным проявлениям насилия.
Однако личность человека или людей, которые пишут на 8kun под псевдонимом Q, до сих пор остается неизвестной. Некоторые, включая основателя 8chan Фредерика Бреннана, который сделался критиком этого сайта, предполагали, что Уоткинс сам скрывается под личиной Q или по крайней мере мог бы установить реальную личность Q, хотя сам Уоткинс последовательно это отрицает. Кроме того, СМИ ранее предполагали, что Уоткинс может обеспечивать работу порталов для коммьюнити QAnon.
В электронном письме в ответ на эту статью Уоткинс написал: «Я не QAnon и не идентифицирую себя так. Это просто ключевое слово в твиттере. Кроме того, я не Q».
Вскоре после отправки запроса о комментарии по этой статье в сети появилось видео, где, по-видимому, Уоткинс обсуждает логи и утверждает, что в его письмах нет ничего примечательного. На видео также присутствовала реклама масок с символикой 8kun и Q.
Слитые логи были опубликовал на имиджборде 420chan, а также в Твиттере, Обри Коттл, предполагаемый сооснователь Anonymous и 420chan. Коттл объявил войну QAnon, который, как он недавно рассказал Gizmodo, «полоскает мозги по всему миру».
Коттл обнаружил, что компания Is It Wet Yet (IIWY), основателем, владельцем и оператором которой является Уоткинс, и которая контролирует 8kun и другие сайты, случайно открыла публичный доступ к логам более четырех почтовых серверов Roundcube, хостингом и администрированием которых она занимается.
Авторам этой статьи удалось подтвердить публичный доступ к логам благодаря непропатченной версии Roundcube, на которой работал почтовый сервер IIWY. Подробности этого бага изложены в CVE-2015-5383, он был убран в патче 1.1.2 Roundcube.
Говоря о слитой переписке, Уоткинс рассказал, что, по-видимому, «имелась уязвимость в сервере Roundcube, который использовал я и, как я подозреваю, тысячи других компаний. Вместо того, чтобы сообщить об этой уязвимости, ваш предполагаемый источник стал следить за мной» — вероятно, имелся в виду Коттл. Уоткинс далее вновь говорил о том, что эти логи, вероятно, повлияли на работу тысяч других компаний, однако были опубликованы, чтобы «выставить не посмешище меня, некоторых моих друзей и людей, которые писали мне электронные письма». Это «не следует поддерживать», добавил он, а также рассказал, что сообщил о проблеме. Уоткинс также заявил, что в прошлый раз, когда команда Bellingcat писала о нем, это привело к тому, что знакомые ему люди пострадали. Он не уточнил, о каких материалах идет речь. Полный ответ, который Уоткинс также опубликовал в Твиттере, приведен здесь.
Хотя логи и уязвимости были обнаружены сравнительно недавно, диапазон дат электронных писем говорит о том, что уязвимость существовала еще тогда, когда 8kun администрировал сын Джима Уоткинса Рон.
Ранее в этом году Рон объявил, что более не является администратором 8kun, и с тех пор распространяет теории заговора о результатах выборов в США, выставляя себя техническим экспертом. Одно из его выступлений на новостном канале правого толка OANN, где он говорил о якобы фальсификации выборов, ретвитнул бывший президент США Дональд Трамп. Мы попросили в Твиттере комментарий у Рона Уоткинса для этой статьи, однако на момент публикации так и не получили ответ.
Почтовые сервера не должны быть публичными
Проверить подлинность логов удалось, связавшись с некоторыми их фигурантами. Один из обменов электронными письмами происходил между Уоткинсом и корреспондентом The Hufftington Post, а также их адресом для сообщений об ошибках.
Мы спросили журналиста, который, по-видимому, причастен к этой переписке, может ли он подтвердить подлинность этих электронных писем, что он и сделал: 25 октября 2019 года Уоткинс действительно послал письмо на адрес для сообщений об ошибках в то же время, что указано в логах. Удивительно, что в .электронном письме содержалось написанное от руки письмо Уоткинса, по-видимому, на пергаменте, дата которого указана римскими цифрами. Твит с этим письмом был опубликован в твиттер-аккаунте IIWY, а Уоткинс, по-видимому, опубликовал на YouTube видео, где он пишет это письмо. Мы также связались с журналистом CNET, электронный адрес которого оказался в логах. Этот журналист также подтвердил, что связывался с этим адресом электронной почты на серверах IIWY в указанную дату.
https://twitter.com/isitwetyet/status/1187712595588861953
В логах виде пик активности в виде большого количества писем на различные адреса с админского аккаунта IIWY 26 ноября 2019 года, что существенно отличается от остальных данных. Судя по активности Уоткинса в твиттере на тот момент, он сменил шифровальную информацию для аккаунтов (на жаргоне — “salt”) и находился под DDoS–атакой.
Вероятно, об этом должны были знать владельцы форума 8kun, чем и объясняется множество отправленных в тот день электронных писем, однако это невозможно убедительно подтвердить, не зная их содержания. 26 ноября среди адресатов электронных писем с этого аккаунта были аккаунты в домене .edu из Австралии и Бразилии. Их владельцами, вероятно, являются студенты или сотрудники ВУЗов. Опять же, невозможно установить, имеют ли эти адреса отношение к владельцами форума.
Судя по логам, администраторские аккаунты 8chan и IIWY переписываются с большим количеством аккаунтов на домене cock.li — поставщика услуг электронной почты, популярного в коммьюнити 4chan и 8kun.
Содержание логов
Чаще всего в логах встречается переписка электронного адреса Джима Уоткинса с женщиной по имени Присцилла Адамс Дюмонт. С ее двух адресов электронной почты Дюмонт обменялась с аккаунтом Уоткинса на домене IIWY 126 электронными письмами в период с ноября 2019 г по август 2020 г.
Изучая следы Дюмонт в сети, можно найти страницу на Фейсбуке и два твиттер-аккаунта с незначительным количеством подписчиков, зарегистрированные на адреса электронной почты, указанные для нее в логах 8kun.
Один из аккаунтов помещен «под замок», но другой, созданный в ноябре 2019 года, активно публиковал твиты, посвященные QAnon и другим теориям заговора. Она также взаимодействует с популярными аккаунтами QAnon. Пик частоты переписки Уоткинса и Дюмонт приходится примерно на 17 апреля 2020 года. Стоит вновь отметить, что непонятно, о чем они переписывались, только что переписка имела место в это время. Однако в тот же день Дюмонт написала в своем открытом аккаунте, что наблюдает разговор вокруг провальной попытки Уоткинса создать политическую группу Disarm the Deep State Super PAC.
В твиттере Дюмонт также присутствует сбор пожертвований для организации Redstone Arsenal Military and Civilians Club, которым она занималась в ноябре 2019 года. В ее профиле LinkedIn указана должность офицера по работе с контрактами в Redstone Arsenal Контрактного управления Армии в штате Алабама. Ранее она работала в Командовании противокосмической и противоракетной обороны Армии США в Отделе по заключению и управлению контрактами.
В посте на Фейсбуке Управления по контрактам Армии США от 2018 года говорится о награждении Присциллы Адамс ДюМонт Орденом Святой Барбары. В комментариях под постом тот же аккаунт Дюмонт на Фейсбуке, что связан с адресами электронной почты из слитых логов, благодарит за поздравления с наградой.
Согласно QAnon, Q называют так за доступ к секретным материалам «уровня Q» в правительстве США, а также доступ к данным военной разведки. Однако эти логи ни в коей мере не говорят о том, что Дюмонт может быть Q.
Хотя в своем твиттер-аккаунте Дюмонт демонстрирует явную приверженность QAnon и другим теориям заговора, ее твиты также демонстрируют отсутствие опыта общения на форумах вроде 8kun. В одном из твитов от ноября 2019 года она просит ссылку на “доски Q на 8kun”.
Она, также, по-видимому, не пользуется влиянием в сети и не имеет особой аудитории. В сумме у обоих твиттер-аккаунтов 185 фолловеров, а в открытом аккаунте не появлялось новых твитов с июня прошлого года.
То, что специалистка по контрактам в Армии США является активной сторонницей QAnon и ведет переписку с владельцем сайта, где появляются посты Q, безусловно, заслуживает внимания. Однако в онлайн-активности Дюмонт нет ничего, что говорило бы о том, что она играет важную роль в истории Q. Также неизвестно, знает ли Уоткинс что-либо о ее профессиональной деятельности.
Мы попытались связаться с Дюмонт по электронной почте и по номеру телефона, который указан в сети как ее номер, чтобы она могла прокомментировать подробности этой истории и ответить на вопрос, почему она так часто контактировала с Уоткинсом. Однако на момент публикации мы не получили ответа или какого-либо отклика.
В логах есть несколько других адресов, которые, видимо, принадлежат сторонникам QAnon. В этих адресах встречаются популярные среди конспирологов абревиатуры, например WWG1WGA или названия блогов, посвященных теме Q. Тем не менее, ни с кем из них не поддерживалась связь так часто, как с ДюМонт.
Другая информация из логов, по-видимому, свидетельствует об общении со сторонниками и инфлюенсерами движения QAnon. Например, Уоткинс и Дюмонт, по-видимому, кратко общались с такими важными персоналиями, как Blessed to Teach, Citizen’s IReport, The Patriot Hour, The Black Conservative, QTheMoreYouKnow и In Pursuit of Truth. Еще один пользователь, связанный с этими групповыми электронными письмами, — “The Growing Awareness”, который публикует длинные видео под такими заголовками, как «Больница попыталась похитить и дать наркотики нашему новорожденному». В отличие от Дюмонт, Уоткинс, по-видимому, также контактировал с Neon Revolt — проповедником Q, у которого более 200 000 фолловеров в Gab. Мы связались со всеми упомянутыми выше участниками движения QAnon по электронным адресам, которые указаны в логах, но не получили никаких ответов на момент публикации материала.
В логах также присутствуют любопытные письма аккаунтов администраторов IIWY и 8kun, которые, вероятно, представляют собой ответы на ранее полученные письма. Многие аккаунты, с которыми они общаются, имеют расистские или просто странные имена и домены, например hitler.rocks, rape.lol, ni**e.rs; многие зарегистрированы на домене cock.li.
Один из адресов, который начинается с “adolsefstalitler” зарегистрирован на домене “tfwno.gf”, что можно расшифровать как «то чувство, когда нет девушки». Другие, по-видимому, касаются финансовых операций IIWY и 8kun. Среди них — paymentcloudinc.com, Paypal, goodstuffcoffee.com (где продается кофе под брендом 8kun), P2P Printing (компания, торгующая мерчем QAnon), а также письма, связанные с рекламой, с рекламного адреса 8kun.
Другие адреса, которые, по-видимому, также участвовали в переписке с доменами IIWY, — различные полицейские и правительственные службы, в том числе ФБР, Департамент правосудия, польский орган по борьбе с киберпреступлениями и даже канадский аккаунт для сообщений о сексуальных преступлениях против детей.
Имеется также переписка Уоткинса и контактов на Lokinet, вместе с которым IIWY пытались создать распределенную платформу противодействия цензуре.
IP-адреса
В логах ошибок, которые тоже присутствуют в данных, можно также увидеть неудачные попытки получения доступа к почтовым серверам Roundcube. Говоря проще, в этих логах указано, с какого электронного адреса, IP и в какое время была попытка входа.
Мы сопоставили IP-адреса в логах ошибок со связанной с ними информацией о сетях. Довольно удивительно, что, по-видимому, никакие два электронных адреса не относились к одному и тому же провайдеру. Другими словами, различные пользователи с разных доменов пытались зайти на один и тот же Roundcube-сервер IWWY с разных IP-адресов. Кроме того, это, по-видимому, свидетельствует о том, что один и тот же частный сервер электронной почты IWWY использовался различными организациями.
Известно, что Уоткинс владеет значительным количеством сайтов, доменов и хостинговых структур. Большинство адресов, по-видимому, связаны с хостинг-провайдерами, с которыми он ранее был связан (например NT Technologies), другие, судя по всему, относятся к внешним сервисам (например Cloudflare, AT&T и Charter), что указывает на то, что IWWY могли периодически пользоваться другими хостинг-провайдерами, или же указывает на IP-адреса в момент логина.
Выводы
В любом случае очевидно, что IWWY имели критические уязвимости, что привело к сливу закрытой информации об их организационной структуре, а также о самих форумах 8kun.
Данные указывают на то, что владелец 8kun Джим Уоткинс вел переписку с энтузиастами и инфлюенсерами движения QAnon.
Также стало известно о других письмах (хотя и не об их содержании) между адресами IWY и их коммерческими партнерами, а также правоохранительными органами.
Уоткинс отрицает, что он — это Q. В логах нет никаких зацепок относительно личности человека или людей, которые стоят за Q. Эта информация остается неизвестной.